商业银行数据库审计系统建设方案

数据库作为银行的核心资产面临安全挑战

数据库是任何企业最具有战略性的资产,尤其是银行,数据是其最为重要的核心资产。数据库里保存着客户信息和各类资金数据,数据库的安全不仅关系到银行自身的金融风险和品牌,还关系到公共秩序甚至国家利益。 互联网的急速发展和网上银行业务的开展使得银行数据库信息的价值及可访问性得到了提升,也致使数据库面临来自互联网严峻的挑战。同时对内部网络来讲,同样存在着针对银行核心数据库操作的安全隐患,例如非工作时间访问核心业务表、非工作场所访问数据库、第三方软件开发商远程访问等等行为,都可能存在着重大安全隐患。作为银行保护数据库的安全,防止非法者获取或篡改数据是一项非常重要而艰巨的工作。

来自监管层的合规需求

近年来,国家各部门不断推出了各种监管要求,对银行的信息科技领域,尤其是电子银行和数据库安全,提出了明确的要求。其中与之相关的法律、法规与行业监管指引有:

2011年,中国人民银行发布了《网上银行系统信息安全通用规范(试行)》;

2009年,银监会发布《商业银行信息科技风险管理指引》;

2007年,全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》;

2006年,银监会发布《电子银行业务管理办法》,《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》;

数据库审计的重要性

要做好数据库的安全,概括起来主要表现在以下三个层面:管理层面、技术层面和审计层面。伴随着银行数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。所以审计层面的重要性越来越体现出来。

数据库审计的目的概括来说主要是三个方面:


 ● 一是让数据管理员实时全面了解数据库实际发生的操作情况;
 ● 二是在可疑行为发生时可以自动启动预先设置的告警规则,让数据库管理员采取措施尽可能防范数据库风险的发生;
 ● 三是可以跟踪用户的全部操作,使审计系统具有一种威慑力,提醒用户安全使用数据库。

明御数据库审计与风险控制系统

现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。

为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求,安恒公司在多年数据库安全的理论和实践经验积累的基础上,成功推出了业界首创的、面向企业,尤其是银行核心数据库的安全产品——明御数据库审计与风险控制系统,该产品重点实现细粒度审计、精准化行为回溯、全方位风险控制,为您的核心数据库提供全方位、细粒度的保护功能。

通过建立完善的数据库操作访问审计机制,提供全方位的实时审计与风险控制,包括细粒度的操作审计、精细化的行为检索、全方位的风险控制、友好真实的操作过程回放、完备的双向审计、独立的三层审计(应用层、中间层、数据库层)、灵活的策略定制、多形式的实时告警、安全事件精确定位、远程访问监控等功能。


图4-1 系统部署图


收益分析

明御数据库审计与风险控制系统以独立硬件审计的工作模式,灵活的审计策略配置,解决银行业务系统面临的“越权使用、权限滥用、权限盗用”等安全威胁,满足各类法规和行业标准对业务与数据库审计的要求,可以帮助银行提升业务运行监控的透明度,降低人工审计成本,真正实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

银行的业务数据承载于整个业务流程之中,是银行最具战略性和价值的资产。从某种意义上说,银行的业务安全就是业务数据的安全。业务审计的收益概括来说主要为以下几个方面:

 ● 预先设置业务规则,实时掌握业务风险状况;
 ● 实时全面了解业务数据的操作情况;
 ● 追溯安全事件的发生过程,分析安全事件发生原因;
 ● 审计作为一种威慑力,加强业务操作人员的安全意识,保障业务数据的安全。
 ● 通过对银行业务系统及数据库的安全评估和检查,有效地解决目前面临的安全隐患,降低了不法分子恶意攻击和入侵的机率。
 ● 通过独特的专业技术,实现对信息从内部和外部的全面保护,防止外部的恶意操作和内部的数据窃取、误操作、恶意操作。
 ● 通过敏感信息的特别监控,实现对系统内部保密数据的保护。
 ● 支持行业要求的(等级保护、SOX、ISO、PCI)的详尽、全面、合规化的审计功能。
 ● 便于大规模部署,支持银行业的数据大集中的管理方式。


返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |